企業(yè)出海-海外數(shù)據(jù)合規(guī)概覽（南非篇）

南非目前是非洲第二大經(jīng)濟(jì)體，經(jīng)濟(jì)和工業(yè)化水平在非洲處于前列，其自然資源十分豐富。[1]南非亦是G20、金磚國家等重要國際組織的成員。據(jù)官方統(tǒng)計，截至2023年，中國連續(xù)14年穩(wěn)居南非第一大貿(mào)易伙伴的地位，南非也連續(xù)13年成為中國在非洲最大的貿(mào)易伙伴。2022年，中南貿(mào)易額達(dá)567.4億美元，增長5%。2023年1至8月，雙邊貿(mào)易額達(dá)377.3億美元，占中國與非洲貿(mào)易總額的20%。南非是中國在非洲最重要的投資目的地之一，也是中資企業(yè)在非洲區(qū)域設(shè)立總部的首選之地[2]。本文擬梳理南非個人信息保護(hù)相關(guān)的法律法規(guī)，為中國出海企業(yè)在南非的個人信息處理活動提供合規(guī)指引。一、南非個人信息保護(hù)法律框架1.《南非憲法》（theConstitutionoftheRepublicofSouthAfrica）《南非憲法》第32(1)條規(guī)定了公民獲取由政府持有的信息以及由他人持有的、為行使或保護(hù)權(quán)利所需的信息的權(quán)利（即信息獲取權(quán)）。為了實現(xiàn)這一權(quán)利，《南非憲法》第32(2)條要求制定相應(yīng)的國家法律，于是《促進(jìn)信息獲取法》（PromotionofAccesstoInformationAct，下稱“PAIA”）相應(yīng)發(fā)布。PAIA于2000年生效，共有7大部分，包括介紹條款、對公有主體記錄的獲取、對私有主體記錄的獲取、對決定的申訴、人權(quán)委員會、過渡安排以及一般條款。同時，《南非憲法》第14條規(guī)定了公民的隱私權(quán)，PAIA第9條明確了對信息獲取權(quán)的限制，包括對隱私、商業(yè)機(jī)密和促進(jìn)良好治理的合理保護(hù)。2.《個人信息保護(hù)法》（ProtectionofPersonalInformationAct，下稱“POPIA”）POPIA是南非第一部全面的數(shù)據(jù)保護(hù)法律，其主要目的是保護(hù)公有和私有機(jī)構(gòu)處理的個人信息，規(guī)定了處理個人信息的最低合規(guī)要求，以及保障數(shù)據(jù)主體的相關(guān)權(quán)利。POPIA包含了對PAIA作出的一系列修訂[3]。POPIA于2013年11月被簽署成為法律，但當(dāng)時并未生效，而是分階段實施，其中第1條（定義）、第39至54條（信息監(jiān)管機(jī)構(gòu)）、第112條（規(guī)定）以及第113條（制定規(guī)定的流程）于2014年開始實施；2020年6月22日，南非總統(tǒng)宣布POPIA余下的大部分實質(zhì)性條款于2020年7月1日開始實施，包括第2至38條、第55至109條（第58(2)條除外）、第111條以及第114(1)-(3)條，主要包括適用條款、合法處理個人信息的條件、豁免情形、需事先授權(quán)的活動、數(shù)據(jù)主體權(quán)利、實施條款、行政處罰等規(guī)定。POPIA第114(1)條設(shè)定了一年的過渡期，即個人信息處理活動必須在2021年7月1日之前能夠確保遵守POPIA的規(guī)定。此外，POPIA第110條（法律修正）和第114(4)條（關(guān)于職責(zé)轉(zhuǎn)移）于2021年6月30日生效，第58(2)條（關(guān)于信息監(jiān)管機(jī)構(gòu)的調(diào)查）于2021年7月1日開始適用。時至今日，POPIA已全部生效。此外，根據(jù)POPIA第112(2)條的規(guī)定，南非信息監(jiān)管機(jī)構(gòu)（具體見下文）于2018年頒布了《個人信息保護(hù)法實施條例》（RegulationRelatingtotheProtectionofPersonalInformationAct，下稱“POPIA條例”進(jìn)一步細(xì)化了POPIA的實施要求。3.《電子通訊與交易法》（ElectronicCommunicationsandTransactionsAct，下ECTA于2002年生效，ECTA立法重點在于規(guī)范電子通訊與電子交易活動，其中第51條對于在電子交易過程中被收集的個人信息提出了九點保護(hù)原則，例如，取得數(shù)據(jù)主體的明確書面同意、告知數(shù)據(jù)主體個人信息收集目的、個人信息刪除義務(wù)等。4.《消費者保護(hù)法》（ConsumerProtection2011年頒布的CPA從保護(hù)消費者隱私的角度立法，適用于通過電話向消費者直接營銷商品和服務(wù)的行為。CPA關(guān)于直接營銷和未經(jīng)請求的通訊的規(guī)定可能與POPIA的有關(guān)規(guī)定存在重疊，但POPIA進(jìn)行了更加明確的規(guī)定。二、南非個人信息保護(hù)監(jiān)管機(jī)構(gòu)信息監(jiān)管機(jī)構(gòu)（InformationRegulator，下稱“IR”）是由POPIA創(chuàng)設(shè)的個人信息監(jiān)管機(jī)構(gòu)，須同時履行POPIA和PAIA規(guī)定的職責(zé)，對國民議會（NationalAssembly）負(fù)責(zé)[4]。自2021年6月30日起，PAIA第83和84條下南非人權(quán)委員會（SouthAfricanHumanRightsCommission）的職能轉(zhuǎn)移至IR[5]。（1）IR的權(quán)力、職責(zé)和職能包括[6]：（2）提供相關(guān)教育、指導(dǎo)并促進(jìn)對個人信息保護(hù)的認(rèn)知；（3）監(jiān)督并執(zhí)行對POPIA的遵守；（4）與利益相關(guān)方溝通協(xié)調(diào)對個人信息的保護(hù)；（5）處理與個人信息保護(hù)有關(guān)的投訴；（6）開展與個人信息保護(hù)有關(guān)的調(diào)研并向國會報告；（7）開展并發(fā)布行為守則（codesofconduct）相關(guān)的活動；（8）通過參與旨在促進(jìn)隱私法律國際執(zhí)法方面的活動以促進(jìn)此類跨境合作；以及（9）POPIA第40(1)條中規(guī)定的其他一般事項。此外，根據(jù)修訂后的PAIA第10條規(guī)定，IR應(yīng)在南非人權(quán)委員會匯編的個人行權(quán)指南的基礎(chǔ)上，更新個人根據(jù)PAIA以及POPIA行權(quán)的指南，且更新頻率不低于每兩年一次。2023年7月，IR作出首份行政處罰，其對南非司法和憲法發(fā)展部（DepartmentofJusticeandConstitutionalDevelopment，DoJ&CD）開出500萬南非蘭特（約合人民幣203萬元）的行政罰款。原因是DoJ&CD于2021年發(fā)生安全漏洞事件，對其電子系統(tǒng)造成嚴(yán)重影響，并導(dǎo)致約1204份包含個人信息的文件丟失。IR認(rèn)定DoJ&CD未實施充分的安全措施及履行安全漏洞通知義務(wù)，于2023年5月發(fā)出執(zhí)法通知[7]。三、南非個人信息保護(hù)法律下的基本概念[8]在南非個人信息保護(hù)法律框架下，個人信息和個人信息相關(guān)處理活動的定義與國際主流數(shù)據(jù)法規(guī)基本一致，具（1）個人（person是指自然人或法人。（2）數(shù)據(jù)主體（datasubject），是指與個人信息相關(guān)聯(lián)的個人。（3）個人信息（personalinformation），是指與可識別的在世自然人有關(guān)的信息，以及與可識別的現(xiàn)存法人（如適用）有關(guān)的信息。同時，POPIA還對個人信息采取了非窮盡式的舉例。（4）責(zé)任方（responsibleparty是指單獨或與他人共同決定個人信息的處理目的和處理方式的公有或私有機(jī)構(gòu)或任何其他個人。類似于GDPR下數(shù)據(jù)控制者（datacontroller）的角色。（5）處理方（operator是指根據(jù)合同或授權(quán)為責(zé)任方處理個人信息、但不受責(zé)任方直接監(jiān)管的個人。類似于GDPR下數(shù)據(jù)處理者（dataprocessor）的角色。（6）處理（processing是指與個人信息有關(guān)的任何操作或活動或任何一系列操作，無論是否通過自動化方式進(jìn)行，包括：收集、接收、記錄、整理、校對、存儲、更新或修改、恢復(fù)、更改、查閱或使用；通過傳輸、分發(fā)或以任何其他形式進(jìn)行的傳播；或合并、鏈接、限制、損壞、刪除或銷毀信息。四、POPIA下的主要個人信息保護(hù)規(guī)定POPIA適用于公有或私有機(jī)構(gòu)或其他任何個人（包括自然人和法人）對可識別的在世自然人有關(guān)的信息，以及與可識別的現(xiàn)存法人（如適用）有關(guān)的信息的處理活動。在地域適用性上，POPIA不僅適用于在南非注冊的責(zé)任方，同時也適用于未在南非注冊、但在南非境內(nèi)處理個人信息（過境個人信息除外）的責(zé)任方[9]。但是，POPIA不適用于以下個人信息處理的情形[10]：（1）純粹為個人或家庭活動之目的進(jìn)行的；（2）相關(guān)個人信息已經(jīng)被去標(biāo)識化并且無法被重新識別的；（3）由公共機(jī)構(gòu)或代表公共機(jī)構(gòu)在涉及國家安全或為防止或偵查非法活動之目的進(jìn)行的（前提是有關(guān)立法規(guī)定了對保護(hù)此等個人信息的保障措施）；（4）由內(nèi)閣及其委員會或省級行政委員會進(jìn)行的；（5）與法院的司法職能有關(guān)的；以及（6）純粹為新聞、文學(xué)或藝術(shù)表達(dá)之目的進(jìn)行的。2.處理個人信息的合法性基礎(chǔ)POPIA規(guī)定的處理個人信息的合法性基礎(chǔ)包括[11]：（1）經(jīng)數(shù)據(jù)主體或數(shù)據(jù)主體為兒童時監(jiān)護(hù)人的同意；（2）為簽訂或履行數(shù)據(jù)主體為一方的合同所需進(jìn)行的；（3）符合法律對責(zé)任方規(guī)定的義務(wù)；（4）為保護(hù)數(shù)據(jù)主體的合法權(quán)益；（5）是公共機(jī)構(gòu)適當(dāng)履行公法義務(wù)所必需的；或（6）為追求責(zé)任方或獲得信息的第三方的合法利益所需進(jìn)行的。3.處理特殊個人信息POPIA在專門的一節(jié)中規(guī)定，責(zé)任方不得（除非有其他規(guī)定）處理特殊個人信息（specialpersonalinformation包括數(shù)據(jù)主體的宗教或哲學(xué)信仰、種族或民族血統(tǒng)、工會會員資格、政治主張、健康或性生活、生物識別信息；或者，與數(shù)據(jù)主體被指控的犯罪行為或與被指控的犯罪行為有關(guān)的任何訴訟或與此類訴訟的處理有關(guān)的信息[12]。但在以下情形下，責(zé)任方可以處理特殊個人信息[13]：（1）經(jīng)數(shù)據(jù)主體同意而進(jìn)行的處理；（2）為確立、行使或維護(hù)法律規(guī)定的權(quán)利或義務(wù)所需進(jìn)行的處理；（3）為履行國際公法義務(wù)所需進(jìn)行的處理；（4）出于歷史、統(tǒng)計或研究目的而進(jìn)行的處理，并且，符合公共利益，且處理是必要的，或者，征得同意是無法實現(xiàn)的或需要付出不相稱的大量努力；以及應(yīng)充分保證該等處理不會對數(shù)據(jù)主體的隱私造成過度的負(fù)面影響；或者（5）該等信息是由數(shù)據(jù)主體有意公開的。4.個人信息處理義務(wù)和責(zé)任POPIA將責(zé)任方的權(quán)利和責(zé)任納入其第三章的個人信息保護(hù)條件。總結(jié)而言，責(zé)任方需滿足下列條件，方可處（1）對個人信息的處理符合POPIA第三章所列示的條件[14]；（2）其處理方式合理，不侵犯數(shù)據(jù)主體的隱私，且處理目的具體、明確、合法，與責(zé)任方的職能或活動相關(guān)（3）數(shù)據(jù)主體已被告知所收集個人信息的性質(zhì)、責(zé)任方的身份以及收集信息的目的[16]；（4）對個人信息的處理是充分、相關(guān)且不過分的[17]；（5）直接從數(shù)據(jù)主體收集個人信息（除非數(shù)據(jù)主體已公開信息、數(shù)據(jù)主體已同意從其他來源收集信息、收集信息不會損害數(shù)據(jù)主體的利益、根據(jù)POPIA的規(guī)定收集信息是必要的、收集信息的合法目的會受到損害或者遵守（7）責(zé)任方已采取適當(dāng)?shù)募夹g(shù)和組織措施保障個人信息安全[20]。此外，責(zé)任方必須確保與每個處理方簽訂書面協(xié)議[21]。責(zé)任方必須確保處理方或代表責(zé)任方處理個人信息的任何主體必須[22]：（1）僅在責(zé)任方知情或授權(quán)的情況下進(jìn)行；（2）采取最低安全措施以保護(hù)其所控制的個人信息；以及（3）對其獲知的個人信息予以保密，不得披露，除非法律要求或在正當(dāng)履行其職責(zé)的過程中。5.需事先授權(quán)的個人信息處理活動責(zé)任方在進(jìn)行下列處理活動前必須獲得IR的事先授權(quán)[23]：（1）處理數(shù)據(jù)主體的唯一標(biāo)識信息[24]，但該等處理：不是用于收集該信息時的目的；以及以將該信息與其他責(zé)任方處理的信息關(guān)聯(lián)起來為目的。（2）代表第三方處理關(guān)于犯罪行為或非法活動的信息；（3）為出具信用報告之目的處理信息；或（4）將特殊個人信息或兒童個人信息傳輸給個人信息保護(hù)水平未達(dá)到相關(guān)標(biāo)準(zhǔn)的外國第三方。6.關(guān)于直接營銷就直接營銷而言，POPIA對通過電子通訊方式進(jìn)行的直接營銷活動進(jìn)行了專門規(guī)定。POPIA禁止為直接營銷之目的處理數(shù)據(jù)主體的個人信息，除非數(shù)據(jù)主體同意或者數(shù)據(jù)主體是責(zé)任方的客戶[25]。如果消費者不是責(zé)任方的客戶，責(zé)任方在向消費者發(fā)送直接營銷信息之前，必須獲得該消費者的同意。在這種情況下，責(zé)任方只可與該消費者聯(lián)系一次以獲得必要的同意[26]。如果消費者是責(zé)任方的客戶，責(zé)任方僅可在下列情況下向客戶發(fā)送直接營銷的信息[27]：（1）責(zé)任方在銷售產(chǎn)品或服務(wù)的過程中獲得了客戶的聯(lián)絡(luò)方式；（2）該聯(lián)絡(luò)方式是為了對責(zé)任方自身的產(chǎn)品或服務(wù)進(jìn)行直接營銷；以及（3）責(zé)任方在收集個人信息時向該客戶提供合理的機(jī)會以對處理其個人信息提出異議。如果該客戶在收集個人信息時未提出異議，責(zé)任方必須在任何情況下向該客戶提供提出異議的機(jī)會。此外，根據(jù)CPA，消費者有權(quán)優(yōu)先阻止任何直接營銷行為。任何已收到營銷信息的消費者有權(quán)要求發(fā)送營銷信息的人員停止向其發(fā)送任何進(jìn)一步的營銷信息。7.數(shù)據(jù)保護(hù)影響評估POPIA條例要求責(zé)任方進(jìn)行個人信息影響評估，以確保有足夠的措施和標(biāo)準(zhǔn)，符合合法處理個人信息的條件IR在確定罰款時，會將責(zé)任方是否進(jìn)行風(fēng)險評估或?qū)嵤┝己玫恼?、程序和慣例來保護(hù)個人信息納入考慮[29]。8.個人信息跨境流動POPIA規(guī)定，責(zé)任方不得向外國司法管轄區(qū)的第三方傳輸數(shù)據(jù)主體的個人信息，除非[30]：（1）接收方受有關(guān)法律、約束性公司規(guī)則或合同的約束，且該等法律、約束性公司規(guī)則或合同：秉持了與POPIA實質(zhì)相似的合理處理個人信息的原則；并且包含與POPIA實質(zhì)相似的關(guān)于接收方向第三方進(jìn)一步轉(zhuǎn)移個人信息的規(guī)定；（3）傳輸對于履行數(shù)據(jù)主體與企業(yè)之間的合同或執(zhí)行根據(jù)數(shù)據(jù)主體的請求采取先合同措施是必要的；（4）傳輸對于訂立或履行合同是必要的；或（5）在獲得數(shù)據(jù)主體的同意不具有合理的可行性，但如果能征詢其意見，數(shù)據(jù)主體將很有可能給予該等同意的情況下，出于數(shù)據(jù)主體的利益而傳輸。9.法律責(zé)任與GDPR相比，POPIA特別規(guī)定了刑事責(zé)任，違反POPIA的行為可能導(dǎo)致最高10年的監(jiān)禁或高達(dá)1000萬南非蘭特（約合405萬人民幣）的行政罰款[31]。此外，POPIA賦予南非的數(shù)據(jù)主體額外的救濟(jì)權(quán)利。POPIA引入了新的民事補(bǔ)救措施，允許數(shù)據(jù)主體在無過錯責(zé)任原則下，對處理其個人信息的各方提起訴訟。這意味著受到數(shù)據(jù)泄露影響的個人可以向未